Skip to content

脅威レポート

2012年度インターネット脅威年間レポート
スマホの不正アプリが約1年で300倍以上に、下半期に騙しの手口が変化

~2012年1月1日~12月15日データ速報版~


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年度のインターネット脅威レポート(日本国内)をお知らせします。

2010年8月に初めてAndroid端末向けの不正アプリを確認し、2011年12月には約1,000個でしたが、2012年11月時点では314,000個と約1年で300倍以上に増加しました。2012年の上半期までゲームやアダルト、動画コンテンツの再生などユーザの興味を引くアプリに偽装するものが主でしたが、スマホの普及を背景に、下半期には電池を長持ちさせるアプリやセキュリティソフトを偽装するなどユーザのスマホに対する不満や不安につけ込む騙しの手口が広がり、ソーシャルエンジニアリングの手法に変化が見られました。また、不正アプリの配布サイト上での騙しの手段として、偽の口コミ情報を記載する事例も確認されており、不正アプリや不正なWebサイトへの対策が重要となっているといえます。

日本国内に限定された脅威としては、日本語のフィッシング詐欺サイトが引き続き多数確認された他、前述の日本語のスマホ向け不正アプリや10月に大きく報道された遠隔操作により犯罪予告を行う不正プログラム、日本語の開発言語「プロデル」で作成された不正プログラムも確認されるなど、国や地域に特化した脅威が顕在化していることがうかがえます。

特定の企業や組織を狙う持続的標的型攻撃では、特定のサイバー攻撃者グループが複数の企業や組織に対して、識別可能なコードで対象を管理し、継続的に攻撃を行う一連のキャンペーンを複数確認しました。標的への侵入時に、組織内の会議情報を記載したような個別にカスタマイズしたメールを用いて不正プログラムが送付される事例がある一方で、4月と10月には内閣府を騙ったスパムメールが複数の組織や企業に送信される例もありました。このような攻撃は、攻撃者が時間をかけて段階的に標的に迫っていくための、準備段階における攻撃だと推測されます。

2012年6月には標的型攻撃「Luckycat(ラッキーキャット)」の攻撃インフラでスマホ、タブレット端末を狙う標的型攻撃の兆候(開発途中の不正アプリ)が初めて確認され、今後はスマホやタブレット端末を狙った標的型攻撃にも広がる可能性があります。ユーザ企業においては、モバイル端末のセキュリティと共に自社のネットワークを継続的に監視し攻撃の兆候をいち早く察知することが求められます。

2012年には日本国内でウイルスの作成や供用の疑いにより容疑者が逮捕される事例が複数ありました。法の制定と執行によりサイバー犯罪の抑止力が期待される一方で、サイバー犯罪者は法的機関が十分に整備されていない地域に拠点を置くことが推測されます。アフリカではインターネットが徐々に整備されはじめている反面、サイバー犯罪の法的機関がまだ十分に整備されていないため、今後アフリカにサイバー犯罪者が拠点を置く可能性があります。

■日本国内の不正プログラム検出状況:ユーザのアクセスをトラッキングするアドウェアが1位に

日本では、Browser Helper Object (BHO)として登録され、インターネットエクスプローラが起動されるたび自身が起動されるような機能をもったアドウェア 「ADW_GAMEPLAYLABS(ゲームプレイラボス)」が 1位にランクインしています。BHOはユーザのインターネットブラウジングを監視する機能を持っており、ユーザがアクセスしたWebサイトをトラッキングし、そのユーザにあわせた広告を表示します。

表1:不正プログラム検出数ランキング※1(日本国内) 2012年度

順位

検出名

通称

種別

検出数

1位

ADW_GAMEPLAYLABS

ゲームプレイラボス

アドウェア

119,324台

2位

ADW_INSTALLCORE

インストールコア

アドウェア

52,734台

3位

WORM_DOWNAD.AD

ダウンアド

ワーム

48,415台

4位

CRCK_KEYGEN

キーゲン

クラッキングツール

32,920台

5位

TSPY_ZBOT.NT

ゼットボット

スパイウェア

24,922台

6位

ADW_OPTMEDIA

オプトメディア

アドウェア

24,566台

7位

CRACK_PATCHER

パッチャー

クラッキングツール

14,768台

8位

HKTL_RESREM

レスレム

ハッキングツール

13,802台

9位

TROJ_FAKEAV.BMC

フェイクエイブイ

トロイの木馬

13,551台

10位

TROJ_SIREFEF.DAM

サーエフエフ

トロイの木馬

13,372台

■全世界の不正プログラム検出状況:2008年頃から流行している「WORM_DOWNAD.AD」が1位に

全世界の不正プログラム検出状況(表2)では、2008年頃から流行している「WORM_DOWNAD.AD(ダウンアド)」が昨年に引き続き1位にランクインしています。 Windowsの脆弱性を利用して感染を広げるため、基本的な対策である修正プログラムの適用が有効です。

表2:不正プログラム検出数ランキング※1(全世界) 2012年度

順位

検出名

通称

種別

検出数

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

1,008,446台

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

519,027台

3位

PE_SALITY.RL

サリティ

ファイル感染型

197,974台

4位

HKTL_KEYGEN

キーゲン

ハッキングツール

194,970台

5位

ADW_GAMEPLAYLABS

ゲームプレイラボス

アドウェア

149,160台

6位

ADW_KRADARE

クラデル

アドウェア

148,871台

7位

Mal_OtorunN

オートラン

その他

142,486台

8位

PE_SALITY.RL-O

サリティ

ファイル感染型

107,430台

9位

TROJ_FAKEAV.BMC

フェイクエイブイ

トロイの木馬

100,017台

10位

Mal_Neb-2

ネブ

その他

86,420台

※ 1  表 1 、表 2 のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づき Trend Micro Smart Protection Network ( SPN )のスマートフィードバックにより収集した情報を元に、 2012 年 1 月 1 日から 12 月 15 日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとにしたものです。本数値は、 2012 年 12 月 20 日現在の情報に基づき作成したものです。不正プログラムの対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が 特定できる検出名を対象に含むことがあります。

■日本国内のお問い合わせ状況:改ざんされたWebサイトで感染する不正プログラムが1位にランクイン

感染すると不正なWebサイトにアクセスする不正プログラム「TROJ_SIREFEF (サーエフエフ)」が1位にランクインしています。「TROJ_SIREFEF (サーエフエフ)」は、本体の不正プログラムを駆除しても、メモリ上の不正なコードが他の不正プログラムを作成し続け、検出を何度も繰り返す傾向があるため、件数が増加したことが推測されます。

表 3 :不正プログラム 感染被害報告数ランキング※ 2   2012 年度 (日本国内)

順位

検出名

通称

種別

件数

前年同期順位

1位

TROJ_SIREFEF

サーエフエフ

トロイの木馬

501件

圏外

2位

WORM_DOWNAD

ダウンアド

ワーム

171件

1位

3位

TROJ_FAKEAV

フェイクエイブイ

トロイの木馬

155件

4位

4位

TROJ_ZACCESS

ジーアクセス

トロイの木馬

95件

圏外

5位

TSPY_ZBOT

ゼットボット

スパイウェア

91件

圏外

※ 2  表 3 のランキングは、 2012 年 1 月 1 日から 12 月 15 日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、 2012 年 12 月 20 日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含み ます。個々の検出名に関しては、亜種も含んでカウントしています。

2012年度の脅威傾向と今後の予測 トレンドマイクロ リージョナルトレンドラボ コメント

トピック(1):スマホ向け不正アプリの増加とソーシャルエンジニアリングの変化

不正アプリの騙しの手口が2012年の下半期に変化しました。2012年1月にはアダルトコンテンツの再生アプリと偽り、感染すると5分おきに金銭の請求画面を表示するワンクリックウェアを初めて確認し、4月にはエンターテイメント系の動画を装い感染すると端末本体の電話番号のほか、電話帳に記録していた名前、電話番号、メールアドレスを外部のサーバに不正に送信する不正アプリを確認しました。 また、8月には「Power Charge」「電池長持ち」「電波改善」「app電話帳リーダー」「無料電話」などスマホの機能改善ツールを、9月には「安心ウイルススキャン」といったセキュリティソフトを装った不正アプリが確認されるなど、不正アプリが偽装するカテゴリが増加し、ユーザを騙すソーシャルエンジニアリングの手法が広がりました。

トピック(2):国や地域に特化した脅威

世界で不特定多数の感染を狙い、英語によるメールやWeb、SNS上のコメント等でユーザを欺く攻撃が少なくなることはありませんが、英語以外の言語を用いて特定の国や地域のみで流行する脅威も増加傾向にあります。日本で、2012年10月に大きく報道された遠隔操作により犯罪予告を行う不正プログラムは、実際の検出はほとんど確認されておらず、日本国内の狭い範囲に感染したと考えられます。また、日本語の開発言語「プロデル」で作成された「TROJ_DELETER.AF(デリーター)」は主に国内のゲームコミュニティサイトで流通していました。12月に確認されたマスターカードを偽るフィッシング詐欺では、99%が日本国内から不正サイトへアクセスしており、日本人を標的にしたことが推測されます。

トピック(3):持続的標的型攻撃のキャンペーン

持続的標的型攻撃に共通する特徴は、標的を管理し続ける点にあります。持続的標的型攻撃「Luckycat(ラッキーキャット)」は、日本、インド、チベット人活動家などの標的に対して行われました。それぞれの不正プログラムにはキャンペーンを示す固有のコードが含まれており、どの不正プログラムによる攻撃でどの標的が感染したかを追跡できるようになっています。標的型攻撃「IXESHE(アイスシ)」は、東アジア圏の政府機関、台湾の電機メーカ、ドイツの電気通信事業会社を標的にした攻撃で「Luckycat(ラッキーキャット)」と同様に標的が不正プログラムに感染したかを追跡できるようになっています。

トピック(4):ソーシャルメディアが攻撃の入口に

FacebookやTwitterだけでなく、PinterestやInstagramといったSNSでユーザに攻撃を仕掛ける例が確認され、攻撃の入り口となるコミュニケーション手段として従来のメールだけでなく、ソーシャルメディアが常とう化してきています。また、スマホ、タブレット端末の所持者やSNSの利用者が増加する中で、Facebookはスマホから利用するユーザが多く(1位:スマホ36.2%、2位:ノートパソコン34.3%、3位:デスクトップパソコン25.3%)※1今後SNSを入口にしてスマホに不正アプリを感染させる攻撃が増加する可能性があります。

※1 2012年トレンドマイクロ調べ。

トピック(5):パソコン向けアドウェアのリバイバル

2003年頃に流行していた広告目的のグレーウェアであるアドウェアが再度流行しています。日本国内の不正プログラム検出状況(表1)ではユーザがアクセスしたWebサイトをトラッキングし、そのユーザにあわせた広告を表示するアドウェア「ADW_GAMEPLAYLABS(ゲームプレイラボス)」が1位となり、他にも2011年では9位と10位だったアドウェアが2012年は1位、2位、6位となり急増しています。背景として、Android端末向けの不正アプリで広告を目的としたものも流行しており、攻撃者が改めてアドウェアによる金銭獲得に目を向けていると考えられます。

図1:Android端末に感染する不正アプリ数 2011年12月~2012年11月(累計)